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Steuergerat zur Steuerung sicherheitskrit ischer Anwendungen 

Die vorliegende Erfindung betrifft ein Steuergerat zur 
Steuerung sicherheitskritischer Anwendungen mit einem 
Mikrocomputer (MC) , einer Uberwachungseinheit (Check Unit, 
CU) und Peripherieschaltungen (Input Output, IO) . Die 
Erfindung betrifft auSerdem ein Verfahren zum Uberprufen 
eines Mikrocomputers (MC) eines Steuergerats zur Steuerung 
sicherheitskritischer Anwendungen, das den Mikrocomputer 
(MC) , eine Uberwachungseinheit (Check Unit, CU) und 
Peripherieschaltungen (Input Output, IO) aufweist. 

Stand der Technik 

In Steuergeraten, die sicherheitskrit ische Anwendungen oder 
Funktionen steuern bzw. regeln, miissen Fehler des 
Mikrocomputers (MC) bzw. eines Prozessors des 
Mikrocomputers durch Uberwachung erkannt werden. Solche 
Steuergerate mit Sicherheitsauf gaben werden bspw. fur 
Antiblockiersysteme , fur Antriebsschlupf regelsysteme 
und/oder fur Fahrdynamikregelsysteme eingesetzt. Die 
sicherheitskritischen Anwendungen, die von dem Steuergerat 
gesteuert werden, sind iiber die Peripherieschaltungen mit 
dem Steuergerat verbunden. Bei Einrechner-Steuergeraten 
sind Verfahren mit einem Selbsttest, 
Plausibilitatsiiberwachung und Watch-Dog bekannt . 

Zur Priifung von CMOS-Bausteinen (integrierte Schaltkreise, 
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IC) beim Hersteller werden Verfahren und MeSgerate zur 
Messung des Ruhestromes eingesetzt. Der Hintergrund des 
sog. Ruhestromtestes besteht darin, daS in einem digitalen 
CMOS-Baustein in rein statischer Logik fast die gesamte 
Verlustleistung wahrend der Schaltvorgange in seinem 
Inneren entsteht . Im Ruhezustand beschrankt sich der 
StromfluS auf winzige Leckstrome, sowie Strome durch 
Pullup- oder Pulldown-Widerstande an den Eingangen und 
externe Lasten an den Ausgangs-Treibern . Viele 
herstellungsbedingte Fehler fiihren zu einer verstarkten 
Leitf ahigkeit zwischen der positiven und negativen 
Versorgungsspannung . Werden solche defekten Bereiche 
(Punktdef ekte) der Schaltung aktiviert, fiihrt dies zu einem 
sprunghaften Anstieg der Stromauf nahme . Durch eine 
hochgenaue Messung der Stromauf nahme wahrend des 
Testvorgangs und einem Vergleich mit entsprechenden 
Sollwerten konnen solche Fehler festgestellt werden. Wie 
schon erwahnt, macht man sich eine solche Ruhestrommessung 
bei der Produktion von CMOS-Bausteinen zunutze, urn nach dem 
HerstellungsprozeS die fehlerhaften Bausteine 
auszusortieren. 

Aus dem Stand der Technik ist es bekannt , das bei der 
Produktion von Rechnerbausteinen bekannte Ruhestrom- 
Testverf ahren auch bei Steuergeraten der eingangs genannten 
Art zur Uberpriifung der Rechnerbausteine wahrend ihres 
Normalbetriebs einzusetzen, urn die haufigsten Fehler in den 
Rechnerbausteinen, insbesondere in dem Mikrocomputer (MC) , 
bspw. Haftfehler (Stuck-at) , Briickenf ehler (Bridging) 
und/oder Unterbrechungsf ehler (Stuck-Open) , detektieren zu 
konnen . 

Aus dem Stand der Technik ist es weiterhin bekannt, bei 
Steuergeraten der eingangs genannten Art zur Erhohung der 
Fehlersicherheit zwei MC vorzusehen, die sich durch 
Parallel rechnung und/oder Plausibilitatspriif ungen 



gegenseitig iiberprufen. Insbesondere Kostenbetrachtungen 
fiihren jedoch zu der Uberlegung, bei solchen Steuergeraten 
lediglich einen einzigen MC zu verwenden. 

Die Aufgabe der vorliegenden Erfindung besteht darin, ein 
Steuergerat der eingangs genannten Art dahingehend 
auszugestalten und weiterzubilden, daS die Zuverlassigkeit 
der Fehlerdetektion weiter verbessert und die Detektion auf 
zusatzliche Fehlerarten ausgeweitet wird. 

Zur Losung dieser Aufgabe schlagt die Erfindung ausgehend 
von einem Steuergerat der eingangs genannten Art vor, daS 
die Uberwachungseinheit (CU) erste Mittel zur Messung des 
Ruhestroms des Mikrocomputers (MC) aufweist und zwischen 
den ersten Mitteln der CU und dem MC mindestens eine 
Handshake -Leitung zur Steuerung der Messung des Ruhestroms 
verlauft, und dafi die CU zweite Mittel zur Beauf schlagung 
des MC mit einem Testdateneingangssignal , zur Verarbeitung 
des Testdateneingangssignals und zum Vergleich des 
entsprechenden Testdatenausgangssignals des MC mit dem 
entsprechenden Testdatenausgangssignal der CU aufweist und 
zwischen den zweiten Mitteln der CU und dem MC mindestens 
eine Testdatensignal -Ubertragungs leitung verlauft . 

Erf indungsgemaS ist erkannt worden, daS die Zuverlassigkeit 
der Fehlerdetektion erhoht werden kann, indem zwei 
unterschiedliche, sich gegenseitig erganzende Testverf ahren 
eingesetzt werden. Auf diese Weise kann auch eine 
wesentlich groSere Anzahl von unterschiedlichen Fehlerarten 
der Rechenbausteine des MC detektiert werden. 

Das erf indungsgemafie Steuergerat kann auch mehrere MCs und 
mehrere CUs aufweisen. Nachfolgend wird jedoch davon 
ausgegangen, daS das Steuergerat einen MC und eine CU 
aufweist. Die CU des erf indungsgemaSen Steuergerats weist 
erste Mittel zur Messung des Ruhestroms des MC auf. 
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Zwischen den ersten Mitteln der CU und dem MC verlauft 
mindestens eine Handshake -Leitung zur Steuerung der Messung 
des Ruhestroms. Die Handshake -Leitung kannbspw. als eine 
bidirektionale Leitung ausgebildet sein. 

Die Ruhestrommessung wird nach dem Einschalten des 
Steuergerats fur eine feste Anzahl ( typischerweise 8 bis 
16) von ausgewahlten Befehlen im Rahmen eines Testprogramms 
durchgef iihrt . Fur den Mikrocomputer TMS470 werden 
beispielsweise 14 ausgewahlte Befehle abgearbeitet , die 
einen internen Maschinenzyklus enthalten. 

Zur Erganzung der Ruhestrommessung weist die CU des 
erf indungsgemaSen Steuergerats zweite Mittel auf . Zwischen 
den zweiten Mitteln der CU und dem MC verlauft mindestens 
eine Testdatensignal-Ubertragungsleitung . 

Die zweiten Mittel beauf schlagen den MC mit einem 
Testdateneingangssignal . Der MC berechnet ein 
Testdatenausgangssignal , das von dem 

Testdateneingangssignal und den Zustanden im Inneren des MC 
abhangig ist. Fehlerhafte Zustande fiihren zu einem 
veranderten Testdatenausgangssignal des MC. 

In den zweiten Mitteln der CU wird auch das 
Testdateneingangssignal zu einem Testdatenausgangssignal 
verarbeitet, das als Ref erenzsignal fur die Uberprufung des 
Testdatenausgangssignals des MC dient . Bei der Berechnung 
des Testdatenausgangssignal geht die CU von einem 
fehlerfrei arbeitenden MC aus . Die durchgef iihrte Berechnung 
ist vorzugsweise sehr einfach gestaltet. Es wird nicht wie 
bei Parallelrechnersystemen der Mikrorechner doppelt 
ausgelegt und von der CU die gleiche Berechnung wie von dem 
MC ausgefiihrt. Vielmehr wird so vorgegangen, daS der MC 
ausgehend von den Eingangsdaten einer vorgegebenen 
Priiffunktion die Ausgangsdaten berechnet, deren Ergebnisse 



von der CU mit dem von ihr berechneten Ref erenzsignal 
uberpruft werden. Die zur Berechnung der Ausgangsdaten 
verwendete Pruffunktion ist in der Regel sehr einfach 
gestaltet, sie erfordert nur eine sehr geringe Rechenzeit. 
Es konnen aber auch komplexe Tests und Ergebnisse von den 
Anwendungsprogrammen in diese Pruffunktion mit einbezogen 
werden. 

SchlieSlich wird das Testdatenausgangssignal der CU mit dem 
Testdatenausgangssignal des MC verglichen. Weichen sie 
voneinander ab oder uberschreitet die Abweichung einen 
vorbestimmten Schwellenwert , erkennt die CU einen Fehler 
des MC. Das Testergebnis kann mittels einer 

Anzeigevorrichtung zur Anzeige gebracht werden und/oder es 
kann vorgesehen sein, dafi beim Auftreten eines Fehlers eine 
Abschaltung des durch das Steuergerat geregelten und/oder 
gesteuerten Systems vorgesehen ist. 

GemaE einer vorteilhaf ten Weiterbildung der Erfindung wird 
vorgeschlagen, daS die ersten Mittel eine IDDQ- 
MeSschaltung, eine Spannungsversorgung , eine IDDQ- 
MeSablauf steuerung (MAS) und eine Steuerung der CU umfassen 
und daS die Verbindung zwischen den ersten Mitteln und dem 
MC zwei Handshake-Leitungen, die von der IDDQ-MAS zu dem MC 
verlaufen, und mindestens eine Spannungs ve r s orgungs 1 e i t ung , 
die von der Spannungsversorgung zu dem MC verlaufen, 
umfaJSt, wobei zumindest eine der 

Spannungsversorgungsleitungen uber die IDDQ-MeSschaltung 
verlauft. Mit IDD wird bei Halbleitern der positive 
Versorgungsstrom bezeichnet . IDDQ ist eine Bezeichnung des 
Ruhestroms. Die Handshake -Leitungen sind bspw. als START - 
und als END -Handshake -Leitungen zum Einleiten bzw. zum 
Ruckmelden des Abschlusses des Funktionstests ausgebildet . 

Die Kommunikation zwischen dem MC und der CU zur Messung 
des Ruhestroms erfolgt liber die zwei Handshake -Leitungen . 



Die Messung des Ruhestroms des MC durch die CU erfolgt uber 
die separaten Spannungsversorgungsleitungen . 

Wie erwahnt, betrifft die Erfindung ein Steuergerat mit 
einer Uberwachungseinheit zum Test des Mikrocomputers des 
Steuergerats. Zur Spannungsversorgung des Steuergerats und 
damit auch des Mikrocomputers ist eine 

Spannungsversorgungseinheit vorgesehen . Die Steuereinheit 
der CU enthalt Mittel, die den MC in bestimmte 
Betriebszustande uberfiihren konnen . Weiterhin sind in der 
IDDQ-Mefischaltung MeSmittel vorhanden, die den Strom oder 
die Spannung im Spannungsversorgungskreis des MC erfassen, 
woraufhin in Vergleichsmitteln, die ebenfalls in der IDDQ- 
Mefischaltung vorhanden sind, der erfafite Strom oder die 
erfafite Spannung mit wenigstens einem vorgegebenen 
Schwellenwert verglichen wird. 

Mit der IDDQ-Messung konnen durch eine einfache Strom- bzw. 
Spannungsmessung eine Vielzahl von moglichen Fehlern im 
Rechner erfafit werden. Dabei kann mit wenigen Testschritten 
eine hohe Abdeckung der haufigsten Fehler in den Bauteilen 
eines MC erreicht werden. Solche Fehler konnen Haftfehler 
(Stuck-at) , Bruckenf ehler (Bridging) und/oder 
Unterbrechungs fehler (Stuck-Open) sein . 

Die Kombination der Ruhe s t r omme s sung mit einem geeigneten 
anderen Uberpruf ungsverf ahren, insbesondere mit einer 
Uberpriifung der Funktion des MC anhand von Testdatensatzen, 
ergibt eine insbesondere fur sicherheitskritische 
Anwendungen vorteilhafte breite Fehlerabdeckung bezuglich 
der wesentlichen Fehler bei Rechnerbausteinen, insbesondere 
be i CMOS - Prozessoren . 

Die oben erwahnte Einsparung des zweiten Prozessors bleibt 
als wirtschaf tlicher Vorteil bei dem erf indungsgemaSen 
Steuergerat weitgehend erhalten, da die erf indungsgemaSe 
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Ruhestrommessung nur wenig Hardware -Auf wand erf ordert . 

Die IDDQ-MAS uberfiihrt vorgegebene Teile des MC durch eine 
spezielle Ansteuerung des MC in einen Zustand geringen 
Stroms . Der Hintergrund dieser Ansteuerung besteht darin, 
daS im MC meist Bauteile vorhanden sind, die einen relativ 
hohen Strom benotigen. Da, wie eingangs erwahnt, die 
Ruhestrommessung im allgemeinen auf Schwankungen des 
Ruhestroms innerhalb relativ geringer Bandbreiten basiert, 
storen die Bauteile des MC mit hoher Stromauf nahme die 
IDDQ-Messung. Insbesondere ist vorgesehen, daS solche 
Bauteile in den Zustand geringen Stromes uberfiihrt werden, 
auf die sich die IDDQ-Messung nicht bezieht. Solche 
Bauteile konnen die MC-Endstufe und/oder eine Eingangsstuf e 
(beispielsweise Analog/Digital -Wandler) sowie Schaltungen 
zur internen Taktvervielf achung sein. Im einfachsten Fall 
werden die Bauteile mit hoher Stromauf nahme wahrend des 
Tests abgeschaltet . Es werden also interne Schaltungsteile 
und -ausgange, die hohe Strome fiihren, abgeschaltet. Danach 
kann die Messung des Ruhestroms vorgenommen werden. 

Uber die oben erwahnte Abschaltung der Bauteile des MC mit 
hohem Strom hinaus kann auch vorgesehen sein, daS der Kern 
des MC in einen Zustand geringer Stromauf nahme zu 
liberfiihren ist. Bei solchen speziell fur die 
Ruhestrommessung ausgelegten MC-Bausteinen ist ein 
spezieller Betriebszustand, ein sog. IDDQ-Testmode 
vorgesehen. In diesem Betriebszustand werden alle 
rechnerinternen Strome ausgeschaltet , d. h. der Strom im 
MC-Kern wird minimiert . Das IDDQ-Design ist derart, daS 
sich Standardf ehler im MC-Kern in einer Erhohung des 
Ruhestroms bemerkbar machen. So auSern sich beispielsweise 
KurzschluS- bzw. Haftf ehler (Kurzschlufi nach Masse oder 
Versorgungsspannung) sofort in einer Erhohung des 
Ruhestromes. Es ist hierbei nicht notwendig, die Auswirkung 
eines solchen Fehlers bis auf die Ausgange des MC 



weiterzuleiten (zu propagieren) . Die erhohte Stromauf nahme 
ist der sofortige Fehlerindikator . 

Neben dem oben beschriebenen I DDQ- Test mode kann vorgesehen 
sein, dafi nur die Bauteile des MC mit hohem Strom 
abgeschaltet werden und der MC auf einen Befehl hin in 
einen definierten Zustand mit niedrigem Strom libergeht . 
Dabei braucht der MC-Kern nicht speziell fur den IDDQ- 
Testmode ausgelegt zu sein. Dies wird als Power -Down -Mode 
bezeichnet . 

Der Power -Down -Mode wird eingeleitet, indem rechnerinterne 
Teile wie Register und Speicher mit bestimmten Mustern 
geladen werden und die oben erwahnten Rechnerbauteile in 
den Zustand geringer Stromauf nahme uberfuhrt werden, bspw. 
durch Ausfiihrung eines bestimmten Rechnerbef ehls . Ist 
dieser Zustand erreicht, so kann wahlweise ein 
Zeittaktgeber ausgeschaltet bzw. abgetrennt werden. 
Anschliefiend wird der Ruhestrom oder ein entsprechender 
Spannungswert gemessen und mit einem Schwellenwert 
verglichen, der dem oben eingestellten Betriebszustand 
(Power-Down- Zustand) des MC-Kerns entspricht. Sind im 
Rechner bestimmte Fehler vorhanden (Haftfehler, 
Briickenf ehler , Unterbrechungen) , so fuhrt dies meist zu 
einer Erhohung des Ruhestroms beziehungsweise des durch den 
Ruhestrom verursachten Spannungsabf alls . 

Nach einem solchen Testschritt konnen weitere Testschritte 
folgen, indem zunachst der Power -Down -Mode durch Anlegen 
von bestimmten Signalpegeln an bestimmte Anschliisse des MC 
verlassen wird. Durch ein erneutes Starten bzw. Zuschalten 
des Zeittaktgebers werden die rechnerinternen Teile wie 
Register und Speicher mit weiteren Mustern geladen und es 
werden wiederum die oben erwahnten Bauteile in den Zustand 
geringen Stroms uberfuhrt, bspw. durch Ausfuhren eines 
bestimmten Rechnerbef ehls (Power-Down-Bef ehl ) . Daran 



schlieSt sich wiederum die oben beschriebene Messung des 
Ruhestromes an. Durch mehrere solcher hintereinander 
ausgefuhrter Messungen des Power -Down- St roms gelangt man zu 
einer immer vollstandigeren Fehlererf assung von Registern, 
Speichern und Teilen des Rechnerkerns . 

Die einzelnen Testschritte werden je nach Rechnertyp und 
Ausfuhrung der Schaltung durch eine Wiederf reigabe des 
Zeittaktgebers, einer Reset -Auslosung oder einer Auslosung 
eines externen Interrupts beendet. Nach dem letzten 
Testschritt wird der MC wieder in seinen normalen 
Betriebsmodus betrieben (Normalbetrieb) . 

Neben der oben beschriebenen Ruhestrommessung im Power- 
Down-Mode ist auch erf indungsgemaS eine Messung des 
Ruhestroms in dem erwahnten IDDQ-Testmode vorgesehen, 
sofern der zu testende Rechner dafur ausgelegt ist. Der 
Eintritt des IDDQ-Testmodes wird bspw. durch Verandern des 
Signalpegels an einem AnschluS des MC eingeleitet . Auch 
hierbei werden vor Eintritt in den IDDQ-Testmode Register 
und Speicher mit bestimmten Mustern geladen. Mit Eintritt 
des IDDQ-Testmodes werden die Rechnerteile mit hoher 
Stromauf nahme abgeschaltet . Daruber hinaus kann der 
Rechnerkern durch Anhalten bzw. Abkoppeln des Zeittaktes 
wahrend der Ausfuhrung eines Befehls in einem fur diesen 
Befehl typischen Zustand gehalten werden. Diese Befehle 
sind derart ausgewahlt, daS sie die Zustande der internen 
Schaltungsknoten des Rechnerkerns so einstellen, dafi 
moglichst viele Fehler uber die Ruhestrommessung detektiert 
werden konnen. 

Der Handshake fur die Ruhestrommessung erfolgt in mehreren 
Schritten : 

SI: Der MC setzt das START-Signal auf HIGH. Damit weiS die 
CU, dafi eine IDDQ-Messung beginnt . 



S2 : Wahlweise kann der MC das Anhalten des Zeittakts 

(Master Clock, MCLK) vorbereiten, indem er durch einen 
internen Befehl ein Signal PREP auf LOW setzt. 

S3 : Der MC dekodiert den genau def inierten Zeitpunkt 
innerhalb des nachsten geeigneten Befehls fur den 
IDDQ-Test und setzt ein Signal DEKOD ebenfalls auf 
LOW. Jetzt wird die MCLK gleich LOW und der 
Digitalteil des MC ist fur die IDDQ-Messung auf 
statischen Betrieb eingestellt. 

S4 : Die CU fiihrt die IDDQ-Messung durch. 

S5: Die CU gibt die Pegelfolge LOW-HIGH- LOW am Signal END 
aus und aktiviert damit wieder die MCLK. 

S6 : Der MC wird wieder aktiv und bestatigt das Ende der 

Messung durch Setzen des START- Signals auf LOW. Der MC 
setzt das Programm fort und bereitet die nachste IDDQ- 
Messung vor oder beendet die IDDQ-Messungen, wenn alle 
Messungen durchgefuhrt sind. 

Vorzugsweise verlaufen zwischen der Spannungsversorgung und 
dem MC zwei Spannungsversorgungsleitungen, wobei eine 
Spannungsversorgungsleitung iiber die IDDQ-MeSschaltung 
verlauft. Uber die Spannungsversorgungsleitung, die iiber 
die IDDQ-MeSschaltung verlauft, wird der Ruhestrom des MC 
gemessen . 

GemaS einer anderen vorteilhaf ten Weiterbildung des 

erf indungsgemaSen Steuergerats wird vorgeschlagen, daS die 

ersten Mittel eine IDDQ-MeSschaltung, eine 

Spannungsversorgung, eine IDDQ-MeSablauf steuerung (MAS) und 
eine Steuerung der CU umfassen und daS die Verbindung 
zwischen den ersten Mitteln und dem MC vier Handshake - 
Leitungen die von der IDDQ-MAS zu dem MC verlaufen, und 
mindestens eine Spannungsversorgungsleitung, die von der 
Spannungsversorgung zu dem MC verlaufen, umfaSt, wobei 
zumindest eine der Spannungsversorgungsleitungen iiber die 
IDDQ-MeSschaltung verlauft. Bei vier Handshake -Leitungen 
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konnen zusatzlich zu den Leitungen START, END bei zwei 
Handshake -Leitungen noch eine Zeittakt (CLK) -Leitung und 
eine Leitung fur eine Power-Down (PWRDN) -Ansteuerung fur 
den MC vorgesehen werden. Bei dieser Ausf lihrungsf orm des 
Steuergerats genugt eine gemeinsame 

Spannungsversorgungsleitung zum Prozessor, in der der 
Ruhestrom gemessen wird. Das Anhalten des Zeittaktgebers 
erfolgt dann in der CU. Die Ansteuerung von 
Spannungsversorgungsschaltern fur Analog- und IO- 
Schaltungen im MC erfolgt durch die PWRDN -Leitung aus der 
CU. Somit fliefit im MeSfall nur der Ruhestrom des 
Digitalteils des MC liber die gemeinsame 
Spannungsversorgungsleitung . 

Vorteilhaf terweise weisen die ersten Mittel eine 
Initialisierungsschaltung auf , die nach dem Einschalten des 
Steuergerats von der Spannungsversorgung ein 
Initialisierungssignal erhalt und danach zur Freigabe der 
I DDQ - Me s sung ein Freigabe-Signal an die IDDQ-MAS sendet . 
Der erfolgreiche AbschluB der I DDQ - Me s sung wird durch ein 
weiteres Signal an die Steuerung der CU signalisiert . Die 
CU schaltet daraufhin den Testablauf weiter, indem die 
Initialisierungsschaltung liber ein weiteres Signal den 
Testdatensignalgenerator f reigibt . 

Gemafi einer vorteilhaf ten Ausf lihrungsf orm der vorliegenden 
Erfindung weisen die zweiten Mittel einen 
Testdatensignalgenerator zur Beauf schlagung des MC mit 
einem Testdateneingangssignal , einen Antwortgenerator zur 
Verarbeitung des Testdateneingangssignals und zur Bildung 
eines entsprechenden Testdatenausgangssignals , ein 
Testdatenregister zum Senden und Empfangen der Testdaten 
und einen Vergleicher zum Vergleich des 
Testdatenausgangssignals des MC mit dem 
Testdatenausgangssignal der CU umfassen und dafi die 
Verbindung zwischen den zweiten Mitteln und dem MC 
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mindestens eine Testdateniibertragungsleitung umfasst, die 
zwischen dem Testdatenregister und dem MC verlaufen. 
Vorteilhaf terweise verlaufen zwichen dem Testdatenregister 
und dem MC zwei Testdatenubertragungsleitungen . 

Auch der Testdatensignalgenerator wird durch die 
Initialisierungsschaltung nach dem Einschalten des 
Steuergerats aktiviert. Im Testdatensignalgenerator werden 
die Testdaten fur den MC in einer quasi -zufalligen 
Reihenfolge durch ein riickgekoppeltes Schieberegister 
generiert . Zu jedem Testdateneingangssignal wird in dem 
Antwortgenerator mit Hilfe des Reed-Muller-Codes die 
Bitfolge fur das Testdatenausgangssignal (das sog. 
Ref erenzsignal) gebildet . Dieser Code wird angewendet, um 
einen groStmoglichen Abstand im Zahlenraum der 
Testdatenausgangssignale (Hamming-Distanz) zu erhalten. Im 
Vergleicher wird dann das theoretisch berechnete 
Testdatenausgangssignal aus dem Antwortgenerator der CU mit 
dem tatsachlichen Testdatenausgangssignal des MC aus dem 
Testdatenregister verglichen. 

Die zweiten Mittel weisen vorzugsweise einen 
Triggergenerator auf, der den Zeitpunkt ermittelt, zu dem 
das Testdatenausgangssignal des MC bei fehlerfreiem MC an 
dem Vergleicher anliegt . Der Triggergenerator gibt den 
Zeitpunkt des Vergleichs des ermittelten 
Testdatenausgangssignals des MC mit der tatsachlichen 
Antwort des CU vor. Dadurch wird sichergestellt , daS die 
Zeitscheiben in dem MC richtig ablaufen. Der Vergleicher 
priift das Testdatenausgangssignal nicht nur auf den 
richtigen Datenwert hin, sondern auch, ob das 
Testdatenausgangssignal innerhalb eines bestimmten 
Zeitfensters ubertragen wird. 

Vorteilhaf terweise weisen die zweiten Mittel einen 
Fehlerzahler auf, der hoch- oder runterzahlt, falls das 
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Testdatenausgangssignal des MC nicht mit dem 

Testdatenausgangssignal der CU ubereinstimmt und/oder falls 
das Testdatenausgangssignal des MC zu einem anderen als zu 
dem von dem Triggergenerator ermittelten Zeitpunkt an dem 
Vergleicher anliegt. Der Vergleicher bewirkt durch einen 
Zahlimpuls das Hoch- oder Runterzahlen des Fehlerzahlers . 
Sind Wert und Zeitpunkt des Testdatenausgangssignals 
richtig, wird der Fehlerzahler bspw. dekrementiert . 
Unterschreitet der Fehlerzahler einen vorgebbaren Wert, 
wird liber ein Signalinterf ace bspw. eine externe Warnlampe 
an- oder abgeschaltet und ein Relais zum Manipulieren der 
sicherheitskritischen Anwendung freigegeben. 

Die Manipulation der zu steuernden Anwendung wird sich in 
der Regel auf ein Abschalten der Anwendung beschranken. Bei 
besonderen Anwendung kann es jedoch sinnvoll sein, daS der 
Fehlerzahler mehrere Ansprechschwellen hat, deren 
Uberschreiten jeweils eine unterschiedliche Reaktion zur 
Folge hat. Dadurch kann ein sofortiges Abschalten der 
Anwendung bei einer einmaligen Storung verhindert und eine 
Uberprufung des Abschaltpf ades durch den Rechner ermoglicht 
werden. 

Wird ein Testdateneingangssignal zum falschen Zeitpunkt 
oder mit einem falschen Wert durch den MC beantwortet, wird 
der MC mit demselben Testdateneingangssignal nochmals 
beaufschlagt bis der Zeipunkt und der Wert des 
Testdatenausgangssignals richtig sind. Tritt dies innerhalb 
einer vordef inierten Zeit nicht ein, schaltet die CU das 
Steuergerat bzw. die Anwendung ab und kann auch durch 
richtige Antworten nicht mehr aktiviert werden. 

Die zweiten Mittel weisen vorzugsweise eine 

Initialisierungsschaltung auf, die nach dem Einschalten des 
Steuergerats von der Spannungsversorgung ein 
Initialisierungssignal erhalt, danach die CU mit dem MC 
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synchronisiert unci danach den Testdatensignalgenerator und 
den Fehlerzahler aktiviert. Die CU wird mit dem MC 
synchronisiert, indem die CU auf die ersten 
Datenubertragung des MC wartet . 

Eine weitere Aufgabe der vorliegenden Erfindung besteht 
darin, ein Verfahren zum Uberprufen eines Mikrocomputers 
der eingangs genannten Art dahingehend auszugestalten und 
weiterzubilden, daS die Zuverlassigkeit der Fehlerdetektion 
weiter verbessert und die Detektion auf zusatzliche 
Fehlerarten ausgeweitet wird . 

Zur Losung dieser Aufgabe schlagt die Erfindung ausgehend 
von dem Verfahren der eingangs genannten Art vor, dass die 
CU des Steuergerats 

eine Messung des Ruhestroms des MC durchfuhrt und 
den MC mit einem Testdateneingangssignal beaufschlagt 
ein erstes Testdatenausgangssignal bestimmt und 
ein zweites Testdatenausgangssignal des MC mit dem 
ersten Testdatenausgangssignal der CU vergleicht . 

Vorteilhaf terweise ist die Ruhestrommessung als eine IDDQ- 
Messung ausgebildet. Vorzugsweise wird die IDDQ-Messung 
nach dem Einschalten des Steuergerates nach der Freigabe 
durch ein Freigabesignal durchgef uhrt . 

GemaS einer vorteilhaf ten Weiterbildung des 

erf indungsgemaSen Verfahrens wird der Vergleich des zweiten 
Testdatenausgangssignals des MC mit dem ersten 
Testdatenausgangssignal der CU wahrend des Betriebs des 
Steuergerats durchgef iihrt . Das hat den Vorteil, daS das 
Steuergerat nicht abgeschaltet werden muS, urn die Funktion 
des Mikrocomputers uberprufen zu konnen. Vielmehr konnen 
wahrend des Betriebs des Steuergerats nicht zur Steuerung 
der Anwendung genutzte Rechenkapazitaten des MC zur 
Uberpriifung des MC genutzt werden. 



Vorzugsweise wird wahrend des Betriebs des Steuergerats in 
regelmaSigen Abstanden einmalig ein falsches 
Testdatenausgangssignal an die CU ausgegeben, um die 
Funktion des Abschaltpf ades zu iiberpriifen. 

Eine weitere vorteilhafte Ausgestaltung der Erfindung geht 
davon aus, dafi wahrend der IDDQ-Messung und/oder wahrend 
des Vergleichs des zweiten Testdatenausgangssignals des MC 
mit dem ersten Testdatenausgangssignal der CU ein 
Zeittaktgeber durch den MC angehalten wird. Der 
Zeittaktgeber ist in der Steuerung der CU vorgesehen. 
Abhangig von den Ausgangssignalen dieses Zeittaktgebers 
werden insbesondere die rechnerinternen Vorgange gesteuert . 
Bei dem beschriebenen I DDQ- Test mode ist vorgesehen, daS 
dieser Zeittaktgeber aus- oder abgeschaltet bzw. von dem MC 
abgetrennt wird. Dies kann auch beim Power -Down -Mode 
realisiert sein, wenn ein besonders niedriger Ruhestrom 
erzielt werden soil. Diese Aus- oder Abschaltung bzw. das 
Abtrennen des Zeittaktgebers geschieht insbesondere zu 
Beginn einer jeden Ruhestrommessung . 

Vorzugsweise wird das Testdateneingangssignal der CU von 
einem Testdatensignalgenerator durch ein riickgekoppeltes 
Schieberegister generiert. Vorteilhaf terweise wird das 
Testdatenausgangssignal der CU von einem Antwortgenerator 
mit Hilfe des Reed-Muller-Codes generiert. 

Das erf indungsgemafie Steuergerat kann mittels zweier 
unterschiedlicher Testablaufe uberpriift werden. Ein sog. 
Startup-Test wird unmittelbar nach dem Einschalten des 
Steuergerats und vor dem Betrieb des Steuergerats zur 
Steuerung oder Regelung der sicherheitskritischen Anwendung 
durchgef uhrt . Ein sog. Online-Test wird nach dem Startup- 
Test wahrend des Betriebs des Steuergerats von Zeit zu Zeit 
durchgef uhrt . 
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Der Startup-Test ist in zwei Testabschnitte unterteilt, den 
sog . Prozessorinitialisierungs-Abschnitt (Proz- Init ) und 
den anschliefienden sog. Betriebssysteminitialisierungs- 
Abschnitt (BS-Init) . Der Proz-Init-Abschnitt umfafit einen 
Befehls- und Core-Test, einen RAM/ROM- Test und einen IDDQ- 
Test . Der BS-Init-Abschnitt umfaSt eine Startup-Regelung 
und einen Test der CU. Bei der Startup-Regelung werden dem 
Steuergerat verschiedene Eingangswerte vorgespielt (bspw. 
ein bestimmter Drehzahlverlauf der Rader eines Fahrzeugs, 
wie er typischerweise am Eingang eines ABS-Steuerungsgerats 
des Fahrzeugs auf treten kann) . Das Steuergerat fiihrt 
aufgrund der Eingangswerte eine Regelung bzw. Steuerung der 
Anwendung durch. Das Ergebnis dieser simulierten Regelung 
bzw. Steuerung wird mit entsprechenden Sollwerten 
verglichen. Bei dem Test der CU wird ein defekter MC 
simuliert und die Reaktion der CU auf den Defekt uberpriift. 

Der Online-Test weist einen Befehls- und Core-Test, einen 
RAM/ROM-Test, einen Test der CU, und einen Replications- 
Test auf. Bei dem Replications -Test werden fur bestimmte 
sicherheitskritische Variable doppelte Speicherplatze 
vorgesehen und bestimmte sicherheitskritische Berechnungen 
doppelt ausgefiihrt. Die Inhalte der doppelten 
Speicherplatze und die Ergebnisse der doppelten 
Berechnungen werden miteinander verglichen. Die redundante 
Speicherung und die redundante Berechnung erfolgt durch den 
einen Prozessor des Steuergerats . Der Online-Test weist 
dariiber hinaus eine Plausibilitatsiiberwachung auf, bei der 
die von dem MC ermittelten Steuerungs- bzw. 
Regelungssignale auf Plausibilitat uberpriift werden. Bei 
einem ABS-Steuergerat kann bspw. uberpriift werden, ob die 
Geschwindigkeit , die Beschleunigung oder die Verzogerung 
innerhalb bestimmter Grenzen liegt. Aufierdem miissen die 
Werte der einzelnen Rader des Fahrzeugs in einer bestimmten 
Relation zueinander stehen, was ebenfalls uberpriift werden 
kann. Der Online-Test weist schlieSlich noch einen 



Betriebssystem-Test und einen Test der iibrigen 
Uberwachungseinheiten des Steuergerats auf . 

Ein bevorzugtes Ausf uhrungsbeispiel der vorliegenden 
Erfindung wird im folgenden anhand der Zeichnungen naher 
erlautert . Es zeigen: 

Fig. 1 ein schematisches Ubersichtsblockschaltbild eines 
erf indungsgemaSen Steuergerats; 

Fig. 2 ein detailliertes Ubersichtsblockschaltbild des 
Steuergerats aus Fig. 1; 

Fig. 3 eine Schaltungsanordnung fur eine 

Ruhestrommessung mit Zweidraht -Handshake; und 

Fig. 4 Zeitdiagramm der MeSablauf steuerung fur die 
Ruhestrommessung aus Fig. 3. 

In Fig. 1 ist ein schematisches Ubersichtsblockschaltbild 
eines erf indungsgemaSen Steuergerats dargestellt. Das 
erf indungsgemaSe Steuergerat ist in seiner Gesamtheit mit 
dem Bezugszeichen 1 gekennzeichnet . Das Steuergerat 1 dient 
zur Steuerung sicherheitskritischer Anwendungen, bspw. fur 
Antiblockiersysteme, fur Antriebsschlupf regelsysteme 
und/oder fur Fahrdynamikregelsyst erne . Das Steuergerat 1 
weist einen Mikrocomputer MC, eine Uberwachungseinheit (CU, 
Check Unit) und Peripherieschaltungen (10, Input /Output ) . 
Der Mikrocomputer MC, die Uberwachungseinheit CU und die 
Peripherieschaltungen IO sind iiber einen seriellen 
synchronen Datenbus 2 in Serie geschaltet . Der 
Mikrocomputer MC sendet iiber seine Datenausgabeleitung 
MC_Dout die Datenausgangssignale iiber den Datenbus 2 an die 
Busteilnehmer und empfangt gleichzeitig die 

Dateneingangssignale iiber seine Dateneingabeleitung MC__Din. 
Mit dem Signal SAM (Sample) speichern die Busteilnehmer die 
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in ihren Speicherregistern angekommenen Daten ab. 

Zwischen dem Mikrocomputer MC und der Uberwachungseinheit 
CU bestehen weitere Verbindungsleitungen, namlich eine 
gemeinsame Versorgungsleitung VDD oder wahlweise mehrere 
Versorgungsleitungen VDD fur eine digitale und analoge 
Versorgung des Mikrocomputers MC. SchlieSlich verlaufen 
zwischen dem Mikrocomputer MC und der Uberwachungseinheit 
CU IDDQ-Handshake-Leitungen IDDQ-HDSHK, die zur Steuerung 
der Ruhestrommessung ( IDDQ-Messung) des Mikrocomputers MC 
dienen. Aus der Uberwachungseinheit CU fiihren sogenannte 
Abschaltpf ade 3 zu externen Warnlampen und/oder Relais zum 
Manipulieren der zu steuerenden sicherheitskritischen 
Anwendungen, je nachdem, ob die Uberwachungseinheit CU 
einen Fehler des Mikrocomputers MC detektiert oder nicht . 
Die Peripherieschaltungen IO weisen Verbindungsleitungen 4 
zu der zu steuernden sicherheitskritischen Anwendung 5 auf . 

Nach dem Einschalten des Steuergerats 1 wird zur 
Funktionsuberpruf ung des Mikrocomputers MC eine 
Ruhestrommessung durchgef uhrt . Wahrend des Betriebs des 
Steuergerats 1 wird die Funktion des Mikrocomputers MC 
iiberpruft, indem er regelmaSig mit Testdatensatzen 
beaufschlagt wird und das entsprechende zweite 
Testdatenausgangs signal des MC mit einem von der 
Uberwachungseinheit CU berechneten fehlerfreien ersten 
Testdatenausgangssignal verglichen wird. 

In Fig. 2 ist ein detailliertes Ubersichtsblockschaltbild 
des Steuergerats 1 aus Fig. 1 dargestellt. Die 
Uberwachungseinheit CU umfasst eine Steuerung 6 der 
Uberwachungseinheit CU, eine Messablauf steuerung 7 fur die 
IDDQ-Messung, eine IDDQ-Messschaltung 8 und eine 
Spannungversorgung 9 . 



Die Steuerung 6 der Uberwachungseinheit CU umfasst einen 
Testdatensignalgenerator 10, einen Antwortgenerator 11 und 
einen Vergleicher 12. Mit Hilfe des 

Testdatensignalgenerators 10 wird der Mikrocomputer MC mit 
einem Testdateneingangssignal beaufschlagt und ermittelt in 
Abhangigkeit von dem Testdateneingangssignal und von seinen 
internen Zustanden ein zweites Testdatenausgangssignal . Der 
Antwortgenerator 11 verarbeitet dasselbe 
Testdateneingangssignal und bildet ein entsprechendes 
erstes Testdatenausgangssignal. In dem Vergleicher 12 wird 
das erste Testdatenausgangssignal der Uberwachungseinheit 
CU mit dem zweiten Testdatenausgangssignal des 
Mikrocomputers MC verglichen. Ein Triggergenerator 13 
ermittelt den Zeitpunkt, zu dem das zweite 
Testdatenausgangssignal des Mikrocomputers MC bei 
fehlerfrei arbeitendem Mikrocomputer MC an dem Vergleicher 
12 anliegt. 

Die Steuerung 6 der Uberwachungseinheit CU weist dariiber 
hinaus einen Fehlerzahler 14 auf, der einen Fehler zahlt, 
falls das zweite Testdatenausgangssignal des Mikrocomputers 
MC nicht mit dem ersten Testdatenausgangssignal der 
Uberwachungseinheit CU ubereinstimmt und/oder falls das 
zweite Testdatenausgangssignal des Mikrocomputers MC zu 
einem anderen als zu dem von dem Triggergenerator 13 
ermittelten Zeitpunkt an dem Vergleicher 12 anliegt . 

Des weiteren weist die Steuerung 6 der Uberwachungseinheit 
CU ein Testdatenregister 17 auf, das zum Senden und 
Empf angen der Testdaten dient . 

Die Steuerung 6 der Uberwachungseinheit CU weist 
schlieSlich auch eine Initialisierungsschaltung 15 auf, die 
nach dem Einschalten des Steuergerats 1 von der 
Spannungsversorgung 9 ein Initialisierungssignal RST 
erhalt, und danach die Uberwachungseinheit CU mit dem 



Mikrocomputer MC synchronisiert , indem sie auf die erste 
Datenubertragung des MC wartet. Danach aktiviert die 
Initialisierungsschaltung 15 den Testdatensignalgenerator 

10 und den Fehlerzahler 14. 

In dem Testdatensignalgenerator 10 werden die 
Testdateneingangssignale fur den Mikrocomputer MC in einer 
quasi-zufalligen Reihenfolge durch ein riickgekoppeltes 
Schieberegister generiert . Zu jedem Testdateneingangssignal 
wird in dem Antwortgenerator 11 mit Hilfe des "Reed-Muller- 
Codes" die Bit-Folge fur das entsprechende erste 
Testdatenausgangssignal gebildet. Dieser Code wird 
angewendet, urn einen groStmoglichen Abstand im Zahlenraum 
der Testdatenausgangssignale (Hamming-Distanz) zu erhalten. 
In dem Vergleicher 12 wird dann das in dem Antwortgenerator 

11 ermittelte erste Testdatenausgangssignal mit dem 
tatsachlichen zweiten Testdatenausgangssignal des 
Mikrocomputers MC verglichen. 

Der Zeitpunkt des Vergleichs wird durch den 
Triggergenerator 13 vorgegeben. Dies stellt sicher, dass 
die Zeitscheiben in dem Mikrocomputer MC richtig ablaufen. 
Der Vergleicher 12 pruft das zweite Testdatenausgangssignal 
des MC nicht nur auf den richtigen Datenwert hin, sondern 
auch, ob das Testdatenausgangssignal innerhalb eines 
bestimmten Zeitfensters ubertragen wird. Sind Wert und 
Zeitpunkt des zweiten Testdatenausgangssignals des MC 
richtig, wird der Fehlerzahler 14 dekrementiert und iiber 
ein Signal -Interface 16 die zu steuernde 

sicherheitskritische Anwendung im aktiven Zustand gehalten, 
indem externe Warnlampen ausgeschaltet und Relais zum 
Ansteuern der Anwendung 5 aktiviert werden. 

In jedem auf diesen ersten Zyklus folgenden Zyklus muss der 
Zeitpunkt und der Wert des zweiten Testdatenausgangssignals 
des MC richtig sein, urn ein sofortiges Ansprechen des 
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Fehlerzahlers 14 zu verhindern. Der Fehlerzahler 14 hat 
mehrere Ansprechschwellen, um ein Abschalten des 
Steuergerats 1 bzw. der Anwendung 5 bei einer einmaligen 
Storung zu verhindern und um eine Prufung des 
5 Abschaltpf ades durch den Mikrocomputer MC zu ermoglichen. 

Die erste Stufe sperrt die Ventilendstuf en durch das Signal 
EN und schaltet die Spannungsversorgung der Ventile iiber 
das Ventilrelais VRA aus . Die Anzeige der Warnlampen SILA 
wird um einen Zyklus verzogert, damit beim Testen des 
10 Abschaltpf ades keine Anzeige erfolgt. 

Wird ein Testdateneingangssignal zum falschen. Zeitpunkt 
oder mit einem falschen Wert beantwortet, wird der 
Mikrocomputer MC mit demselben Testdateneingangssignal 
15 nochmals beauf schlagt , bis der Zeitpunkt und der Wert 

richtig sind. Tritt dies innerhalb einer vordef inierten 
Zeit nicht ein, schaltet die Uberwachungseinheit CU das 
Steuergerat 1 ab und kann auch durch richtige Antworten 
nicht mehr aktiviert werden. 

20 

Die Ruhestrommessung wird nach dem Einschalten des 
Steuergerats 1 fur eine feste Anzahl ( typischerweise 8 bis 
16) von Zeitpunkten eines Testprogramms durchgef lihrt . Die 
Kommunikation zwischen Mikrocomputer MC und 
Uberwachungseinheit CU zur Ruhestrommessung erfolgt iiber 
die zwei Handshake- Lei tungen START und END. Wahrend der* 
Ruhestrommessung halt der Mikrocomputer MC den 
Zeittaktgeber CLK an. Zwischen der Uberwachungseinheit CU 
und dem Mikrocomputer MC sind zwei separate 
3 0 Spannungsversorgungsleitungen, VDD_digital zur Versorgung 

des Digitalteils des Mikrocomputers MC und VDD_analog zur 
Versorgung des Analogteils des Mikrocomputers MC. Der 
Ruhestrom wird in der Spannungsversorgungsleitung 
VDD_digital gemessen. 



Die Freigabe der Ruhestrommessung erfolgt nach dem 
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Einschalten der Versorgungsspannung durch das Signal 
IDDQ_EN der Steuerung 6 der Uberwachungseinheit CU. Der 
erfolgreiche Abschluss der Ruhestrommessung wird durch das 
Signal IDDQ__FIN an die Steuerung 6 der Uberwachungseinheit 
CU signalisiert . Die Uberwachungseinheit CU schaltet dann 
den Testablauf weiter, indent die Initialisierungsschaltung 
15 liber ein Signal IDDQ_OK den Testdatensignalgenerator 10 
f reigibt . 

In Fig. 3 ist eine Schaltungsanordnung fur die 
Ruhestrommessung mit einem Zweidraht -Handshake dargestellt. 
In Fig. 4 ist das Zeitdiagramm der Messablauf steuerung 7 
fur die Ruhestrommessung aus Fig. 3 dargestellt. Nach dem 
Einschalten des Steuergerats 1 startet der Mikrocomputer MC 
seinen Selbsttest. Ein Teil dieses Selbsttests ist die 
Ruhestrommessung. Erreicht der Ablauf im Mikrocomputer MC 
den Ruhestromtest , wird das Signal START aktiviert . Zum 
Zeitpunkt Tl wird die Ruhestrommessung durch das Signal 
M__Act aktiviert. Der Ausgang des Vergleichers 12 fur die 
Ruhestrommessung wird nach der Zeit T2 ausgewertet . Ist der 
Wert in Ordnung, wird der Mikrocomputer MC durch das END- 
Signal wieder aktiviert. Liegt der Wert auSerhalb eines 
Grenzwertes, wird die Messung wiederholt . Die Anzahl der 
Wiederholungen ist vorgegeben. Fuhrt auch die Wiederholung 
der Messung zu keiner richtigen Antwort, wird die Messung 
abgebrochen und die Uberwachungseinheit CU schaltet den 
Mikrocomputer MC nicht mehr ein, sondern bleibt in einem 
Fail-safe-Modus. Wenn alle Ruhestrommessungen abgeschlossen 
sind, wird das Signal IDDQ_FIN auf HIGH gesetzt. Die 
Steuerung 6 der Uberwachungseinheit CU nimmt daraufhin das 
Signal IDDQ_EN von HIGH auf LOW zuriick. 
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Robert Bosch GmbH , 70469 Stuttgart 
Patent anspriiche 

1. Steuergerat (1) zur Steuerung sicherheitskritischer 
Anwendungen (5) mit einem Mikrocomputer (MC) , einer 
Uberwachungseiriheit (Check Unit, CU) und 
Peripherieschaltungen (Input Output, IO) , dadurch 
gekennzeichnet , daS die Uberwachungseinheit (CU) erste 
Mittel zur Messung des Ruhestroms des Mikrocomputers (MC) 
aufweist und zwischen den ersten Mitteln der CU und dem MC 
mindestens eine Ruhestrom-Handshake-Leitung (IDDQ-HDSHK) 
zur Steuerung der Messung des Ruhestroms verlauft, und da£ 
die CU zweite Mittel zur Beauf schlagung des MC mit einem 
Testdateneingangssignal , zur Verarbeitung des 
Testdateneingangssignals und zum Vergleich des 
entsprechenden Testdatenausgangssignals des MC mit dem 
entsprechenden Testdatenausgangssignal der CU aufweist und 
zwischen den zweiten Mitteln der CU und dem MC mindestens 
eine Testdatensignal-Ubertragungsleitung verlauft. 

2. Steuergerat (1) nach Anspruch 1, dadurch 
gekennzeichnet, daS die ersten Mittel eine IDDQ- 
MeSschaltung (8) , eine Spannungsversorgung (9) , eine IDDQ- 
MeSablauf steuerung (MAS) (7) und eine Steuerung (6) der CU 
umfassen und daS die Verbindung zwischen den ersten Mitteln 
und dem MC zwei Handshake-Leitungen (START, END) , die von 
der IDDQ-MAS zu dem MC verlaufen, und mindestens eine 
Spannungsversorgungsleitung (VDD) , die von der 
Spannungsversorgung (9) zu dem MC verlaufen, umfaSt, wobei 
zumindest eine der Spannungsversorgungsleitungen (VDD) iiber 



die IDDQ-MeSschaltung (8) verlauft. 

3. Steuergerat (1) nach Anspruch 2, dadurch 
gekennzeichnet , daS zwischen der Spannungsversorgung (9) 
und dem MC zwei Spannungsversorgungsleitungen (VDD_analog, 
VDD_digital) verlaufen, wobei eine 

Spannungsversorgungsleitung (VDD_digital) uber die IDDQ- 
MeSschaltung ( 8 ) verlauft . 

4. Steuergerat (1) nach Anspruch 1, dadurch 
gekennzeichnet, daS die ersten Mittel eine IDDQ- 
MeSschaltung (8) , eine Spannungsversorgung (9) , eine IDDQ- 
MelSablauf steuerung (MAS) (7) und eine Steuerung (6) der CU 
umfassen und daS die Verbindung zwischen den ersten Mitteln 
und dem MC vier Handshake -Leitungen (START, END, CLK, 
PWR_DN) , die von der IDDQ-MAS (7) zu dem MC verlaufen, und 
mindestens eine Spannungsversorgungsleitung (VDD) , die von 
der Spannungsversorgung (9) zu dem MC verlaufen, umfafit, 
wobei zumindest eine der Spannungsversorgungsleitungen 
(VDD) iiber die IDDQ-MeSschaltung (8) verlauft. 

5. Steuergerat (1) nach einem der Anspruche 2 bis 4, 
dadurch gekennzeichnet, daS die ersten Mittel eine 
Initialisierungsschaltung (15) aufweisen, die nach dem 
Einschalten des Steuergerat s (1) von der 

Spannungsversorgung (9) ein Initialisierungssignal (RST) 
erhalt und danach zur Freigabe der IDDQ-Messung ein 
Freigabe-Signal (IDDQ_EN) an die IDDQ-MAS (7) sendet . 

6. Steuergerat (l) nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, da£ die zweiten Mittel einen 
Testdatensignalgenerator (10) zur Beauf schlagung des MC mit 
einem Testdateneingangssignal , einen Antwortgenerator (11) 
zur Verarbeitung des Testdateneingangssignals und zur 
Bildung eines entsprechenden Testdatenausgangssignals , ein 
Testdatenregister (17) zum Senden und Empfangen der 



Testdaten und einen Vergleicher (12) zum Vergleich des 
Testdatenausgangssignals des MC mit dem 
Testdatenausgangssignal der CU umfassen und daS die 
Verbindung zwischen den zweiten Mitteln und dem MC 
mindestens eine Testdateniibertragungsleitung umfasst, die 
zwischen dem Testdatenregister (17) und dem MC verlauft. 

7. Steuergerat (1) nach Anspruch 6, dadurch 
gekennzeichnet, daS die Verbindung zwischen den zweiten 
Mitteln und dem MC zwei Testdateniibertragungsleitungen 
(CU_Dout , CU_Din) umf asst . 

8. Steuergerat (1) nach Anspruch 6 oder 7, dadurch 
gekennzeichnet , daS die zweiten Mittel einen 
Triggergenerator (13) aufweisen, der den Zeitpunkt 
ermittelt, zu dem das Testdatenausgangssignal des MC bei 
fehlerfreiem MC an dem Vergleicher (12) anliegt . 

9. Steuergerat (1) nach einem der Anspriiche 6 bis 8, 
dadurch gekennzeichnet, da£ die zweiten Mittel einen 
Fehlerzahler (14) aufweisen, der einen Fehler zahlt, falls 
das Testdatenausgangssignal des MC nicht mit dem 
Testdatenausgangssignal der CU iibereinstimmt und/oder falls 
das Testdatenausgangssignal des MC zu einem anderen als zu 
dem von dem Triggergenerator (13) ermittelten Zeitpunkt an 
dem Vergleicher (12) anliegt. 

10. Steuergerat (1) nach Anspruch 9, dadurch 
gekennzeichnet, daS der Fehlerzahler (14) mehrere 
Ansprechschwellen hat, deren Uberschreiten jeweils eine 
unterschiedliche Reaktionen zur Folge hat. 

11. Steuergerat (1) nach einem der Anspriiche 6 bis 10, 
dadurch gekennzeichnet, dafi die zweiten Mittel eine 
Initialisierungsschaltung (15) aufweisen, die nach dem 
Einschalten des Steuergerat s (1) von der 
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Spannungsversorgung (9) ein Initialisierungssignal (RST) 
erhalt, danach die CU mit dem MC synchronisiert und danach 
den Testdatensignalgenerator (10) und den Fehlerzahler (14) 
aktiviert . 

12. Verfahren zum Uberprufen eines Mikrocomputers (MC) 
eines Steuergerats (1) zur Steuerung sicherheitskritischer 
Anwendungen, das den Mikrocomputer (MC) , eine 
Uberwachungseinheit (Check Unit, CU) und 
Peripherieschaltungen (Input Output, IO) aufweist, 
gekennzeichnet durch 

eine Me s sung des Ruhestroms des MC und 
eine Beauf schlagung des MC mit einem 
Testdateneingangssignal , 

ein Bestimmen eines ersten Testdatenausgangssignals 
und 

einen Vergleich eines zweiten Testdatenausgangssignals 
des MC mit dem ersten Testdatenausgangssignal der CU. 

13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, 
daS die Ruhestrommessung als eine I DDQ - Me s sung ausgebildet 
ist . 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, 
daS die I DDQ - Me s sung nach dem Einschalten des Steuergerates 
(1) nach der Freigabe durch ein Freigabesignal ( IDDQ_EJST) 
durchgef uhrt wird . 

15. Verfahren nach Anspruch 13 oder 14, dadurch 
gekennzeichnet, daS der Vergleich des zweiten 
Testdatenausgangssignals des MC mit dem ersten 
Testdatenausgangssignal der CU wahrend des Betriebs des 
Steuergerats (1) durchgef iihrt wird. 

16. Verfahren nach einem der Anspruche 13 bis 15, dadurch 
gekennzeichnet, daS wahrend der I DDQ - Me s sung und/oder 
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wahrend des Vergleichs des zweiten Testdatenausgangssignals 
des MC mit dem ersten Testdatenausgangssignal der CU ein 
Zeittaktgeber (Clock, CLK) durch den MC angehalten wird. 

5 17. Verfahren nach einem der Ansprviche 13 bis 16 , dadurch 

gekennzeichnet , daS das Testdateneingangssignal der CU von 
einem Testdatensignalgenerator (10) durch ein 
riickgekoppeltes Schieberegister generiert wird. 

10 18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, 

daS das Testdatenausgangssignal der CU von einem 
Antwortgenerator (11) mit Hilfe des Reed-Muller-Codes 
generiert wird. 



15 
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06 . 08 . 1998 

Robert Bosch GmbH , 70469 Stuttgart 

Testverf ahren und Schaltunasanordnuna fur Steuergerate 
Zusammen fas sung 

Die Erfindung betrifft ein Steuergerat (1) zur Steuerung 
sicherheitskritischer Anwendungen (5) mit einem 
Microcomputer (MC) , einer Uberwachungseinheit (CU, Check 
Unit) und Peripherieschaltungen (IO, Input/Output) . Urn bei 
derartigen Steuergeraten die Zuverlassigkeit der 
Fehlerdetektion weiter zu verbessern und die Detektion auf 
zusatzliche Fehlerarten auszuweiten, wird gemaS der 
Erfindung ein Steuergerat (1) der genannten Art 
vorgeschlagen, wobei die Uberwachungseinheit (CU) erste 
Mittel zur Messung des Ruhestroms des Mikrocomputers (MC) 
aufweist, zwischen den ersten Mitteln der CU und dem MC 
mihdestens eine Ruhestrom-Handshake-Leitung (IDDQ-HDSHK) 
zur Steuerung der Messung des Ruhestroms verlauft, und dass 
die CU zweite Mittel zur Beauf schlagung des MC mit einem 
Testdateneingangssignal , zur Verarbeitung des 
Testdateneingangssignals und zum Vergleich des 
entsprechenden Testdatenausgangssignals des MC mit dem 
entsprechenden Testdatenausgangssignal der CU aufweist und 
zwischen den zweiten Mitteln der CU und dem MC mindestens 
eine Testdatensignal-Ubertragungsleitung verlauft. 
(Figur 2) 
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